1. EU 적정성 결정의 의의
2021년 12월 유럽연합(European Union, EU)의 유럽위원회(European Commission)는 한국에 대한 개인정보보호의 '적정성 결정(adequacy decision)'을 채택하였다. EU의 개인정보보호법인 '일반개인정보보호규칙(General Data Protection Regulation, GDPR)' 제45조에 근거하여 유럽위원회가 채택한 적정성 결정을 통하여 EU 시민 등의 개인정보는 별다른 조치 없이 자유로이 한국으로 이전될 수 있게 되었다. 유럽위원회가 한국이 개인정보보호의 적정한 수준을 보장하고 있다고 결정한 것은 개인정보의 국외이전에 있어서 한국이 사실상 EU 회원국에 준하는 지위를 부여받은 것으로 볼 수 있다. 보다 중요한 점은 EU 시민 등의 개인정보가 한국에 자유롭게 이전될 수 있게 되어 EU가 한국의 디지털시장으로서 포섭될 수 있는 사실이다.


2. 개인정보보호위원회의 고시인 보완규정 채택
EU 적정성 결정의 채택에 따라 개인정보보호위원회는 '한국으로 이전된 개인정보의 처리와 관련한 개인정보 보호법의 해석과 적용을 위한 보완규정'을 고시 제2021-5호로서 채택하였다. 동 고시는 EU 적정성 결정에 기반하여 한국으로 이전된 개인정보 처리에 대하여 개인정보보호법의 특정 조항에 대한 해석 기준을 명확히 하고, 한국과 EU의 제도적 차이점 보완을 위하여 마련된 것이다. 개인정보보호위원회의 행정규칙인 동 고시 내용을 위반하는 행위는 개인정보보호법의 관련 조항을 위반하는 행위로 간주될 수 있다고 한다. 이렇게 개인정보처리자에게 법적 구속력을 가진다는 동 고시의 위반으로 개인인 정보주체의 권리와 이익이 침해되는 경우 해당 개인은 개인정보보호위원회 또는 법원 등에 구제를 요구할 수 있다고 한다. 동 고시의 제목과 내용은 EU 적정성 결정의 부속서 Ⅰ과 대체로 일치한다.


3. 보완규정의 해석 문제 예시
개인정보보호위원회의 고시인 보완규정(이하 '보완규정')은 EU 적정성 결정의 채택에 필요하여 한국이 제시한 보완적 법적 문서이지만, 개인정보보호법의 주요 규정에 대한 개인정보보호위원회의 해석을 내용으로 한다. 예컨대, 수집 목적 외 개인정보의 이용·제공 제한에 관한 규정들이 EU에서 한국으로 이전된 개인정보는 물론 다른 제3국에서 이전된 개인정보에도 적용된다고 밝힌 점은 의미 있는 해석이다.

그러나, 개인정보보호법의 주요 규정에 대한 보완규정의 해석에서 여러 문제가 발견된다. 행정규칙의 성격으로서 고시의 지위를 가진 보완규정이 법률의 지위를 가진 개인정보보호법의 명시적 의미와 입법적 맥락을 무시하거나 뛰어넘는 것으로 보이기 때문이다. 예컨대, 보완규정은 개인정보의 국외 제3자에게 제공되는 근거에 개인정보보호법 제17조 제4항의 당초 수집 목적과 합리적으로 관련된 범위에서 국외 제3자 제공을 허용한다고 해석하는데, 동 규정이 유래한 EU GDPR 제6조 제4항의 명시적 내용은 물론 동 규정이 '데이터 3법 개정'으로 포함된 당시의 취지에 비추어서 무리일 것이다. EU GDPR 제6조 제4항은 수집 목적과 양립 가능한 목적의 개인정보 처리의 적법성을 인정한 것인데, 개인정보가 EU 역외로 이전되기 위하여는 추가로 적정성 결정을 포함하는 제5장의 규정이 적용되어야 한다. 개인정보의 적법한 처리에 관한 규정이 동시에 역외·국외 이전의 근거가 되기는 어려울 것이다.

개인정보보호법은 가명정보의 파기를 예외적으로 요구하지 않는데, 보완규정은 EU 적정성 결정에 기반하여 한국으로 이전된 개인정보를 포함하여 가명정보의 파기가 원칙이라고 해석한다. 즉, 보완규정은 가명정보를 처리함에 있어 그 구체적인 처리 목적을 달성한 이후에도 헌법 제37조 및 개인정보보호 원칙을 규정한 개인정보보호법 제3조에 따라 파기하지 아니하는 경우에는 해당 정보를 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보 즉 익명정보로 처리하여야 한다고 규정한다. 이러한 규정은 가명정보도 처리 목적이 달성되면 파기되어야 한다는 해석이다. 개인정보보호법이 가명정보에 대하여 개인정보의 파기에 관한 규정을 명시적으로 적용 배제하는 것도 문제이지만, 고시의 지위를 가진 보완규정을 통하여 개인정보보호법의 명시적 규정에 어긋나는 해석을 하는 것은 무리이다. 참고로 현재 국회에 계류 중인 정부의 개인정보보호법 개정안은 가명정보의 파기를 포함한다.

무엇보다 큰 문제는 국가안보 목적의 정보분석을 위한 개인정보 처리에 관한 보완규정의 무리한 해석이다. 국가안보 목적의 경우 개인정보보호법 제58조 제1항 제2호는 개인정보보호법의 제3장부터 제7장까지 적용되지 않도록 규정하는데, 이들 규정은 개인정보보호법의 실체적 규정이다. 국가안보 목적의 경우에 개인정보보호법의 이러한 구체적이고 실체적 규정이 적용되지 않는데, 보완규정은 개인정보보호 원칙을 규정한 제1장 제3조와 제4조를 통하여 개인정보 처리에 관한 제3장과 정보주체의 권리 보장에 관한 제5장이 사실상 적용되도록 해석한다. 그 결과 보완규정은 개인정보보호법 제58조의 명시적 의미와 입법 취지를 간과하고, 원칙적 규정인 제3조와 제4조에 근거하여 국가안보 목적의 개인정보 처리에서 개인정보처리자의 의무와 정보주체의 권리를 무리하게 인정하려고 한다.

예컨대, 개인정보보호법 제20조 제1항과 제2항에 따라, 개인정보처리자는 정보주체 이외로부터 수집한 개인정보의 수집 출처 등을 정보주체에게 알려야 하지만, 이렇게 고지를 요구하는 대상이 되는 개인정보가 '국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일'에 해당하는 경우 이러한 고지는 요구되지 않는다. 이러한 고지 의무의 예외는 개인정보보호법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한하는데, 국가안보는 국가안전을 해치는 관련 정보주체의 권리보다 명백히 우선해야 할 것이다. 이렇게 국가안보에 관련하여, 개인정보보호법은 정보주체에 대한 수집 출처 등 고지 의무에 대한 예외를 규정하는데, 보완규정은 개인정보보호법 제4조에 따라 정보주체에게 '자신의 개인정보가 처리되고 있는지 여부, 해당 개인정보의 제공을 포함한 그 처리 내용, 해당 정보에 접근한 사실에 대한 확답을 받을 권리'가 인정된다고 해석하는데, 이는 타당하지 않을 것이다. 이러한 취지에서, 보완규정이 개인정보보호법 제4조에 따라 국가안보에 관련하여 정보주체에게 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리를 보유한다고 하는 것도 타당하지 않을 것이다.

개인정보보호법 제58조 제1항 제2호에 따라, 국가안보와 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보에 대하여 제3장에서 제7장까지 적용되지 않는다. 개인정보의 처리에 관한 제3장, 개인정보의 안전한 관리에 관한 제4장, 및 정보주체의 권리 보장에 관한 제5장은 개인정보처리자의 의무와 정보주체의 권리를 규정하여 개인정보보호법의 실체법적 근간이다. 이렇게 개인정보처리자의 의무와 정보주체의 권리에 관한 규정은 국가안보와 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보에 대하여 예외적으로 적용되지 않는다. 정보주체의 권리는 물론 개인정보처리자의 의무에 따른 정보주체의 이익은 국가안보에 관련되어서 제한되는 것이다. 물론 국가안보 목적의 개인정보 처리에도 총칙인 제1장에 포함된 개인정보보호 원칙을 규정한 제3조와 정보주체의 권리를 규정한 제4조는 여전히 적용된다. 문제는 제3조와 제4조는 개인정보보호의 원칙적 규정이고, 이들 두 개 조문은 개인정보의 처리에 관한 제3장과 정보주체의 권리 보장에 관한 제5장에서 보다 구체적으로 규정된다. 국가안보의 특정한 경우에 개인정보보호법의 구체적이고 실천적인 규정이 적용되지 않는다면, 일반적이고 원칙적인 규정의 적용은 그야말로 제한적이고 선언적일 수밖에 없다. 일반적이고 원칙적인 규정을 통하여 국가안보와 관련하여 이들보다 구체적이고 실천적인 규정들의 적용 결과를 도출하려는 것은 무리일 것이다.

개인정보보호법 제58조는 제1항에서 국가안보 목적의 경우 제3장과 제5장 등의 실체적 규정의 적용 예외를 규정하면서 제4항에서 최소한의 범위와 정도이지만 정보주체의 권리가 가능한 대로 보호될 수 있도록 규정한다. 따라서, 국가안보 목적의 경우 해당 정부기관은 해당 정보주체의 보호를 위하여 제58조 제4항에 규정된 최소한의 구체적 조치를 마련하여 시행하여야 한다. 예컨대, 개인정보보호법 제4장의 제32조는 국가안전 등을 기록한 개인정보파일의 등록과 공개를 예외적으로 요구하지 않고, 또한 제30조도 이러한 경우 개인정보 처리방침의 수립과 공개도 예외적으로 요구하지 않는다. 국가안보에 관련하여 제30조와 제32조는 각각 자체적인 예외를 규정하지만, 제58조 제4항에 따라, 개인정보처리자는 개인정보의 안전한 관리에 필요한 안전조치를 마련하도록 여전히 요구된다. 이는 제4장의 핵심 규정인 제29조의 안전조치 의무와 일치한다. 따라서, 사실상 개인정보의 안전한 관리에 관한 제4장의 핵심 내용은 국가안보에 관련하여도 적용되는 것이다.


4. 결어
개인정보보호위원회의 고시인 보완규정은 개인정보보호법의 해석과 집행 기준을 명확히 하기 위한 행정규칙인 점에서 보완규정 내용의 위반은 개인정보보호법의 관련 조항의 위반으로 간주될 수 있다고 한다. 문제는 보완규정의 여러 해석이 개인정보보호법의 주요 규정의 명시적 의미와 입법 취지를 벗어나는 점이다. 법체계상 법률의 하위 지위에 있는 고시인 보완규정을 통하여 법률인 개인정보보호법의 명시적 규정에 어긋나는 해석을 하는 것은 무리이다. 개인정보보호위원회의 고시인 보완규정은 개인정보보호법의 명시적 규정을 존중하여 올바로 해석하도록 재검토되어야 할 것이다. 앞으로 영국 등 다른 국가들과도 적정성 결정을 통하여 우리의 디지털시장을 확대하는 것이 필요한 시점에서, 보완규정을 통한 개인정보보호법의 해석은 개인정보보호법의 법적 의미와 입법 취지의 틀에서 올바르게 이루어져야 한다.


박노형 교수(고려대 로스쿨)